![Pinterest](https://pinterest.com/pin/create/button/?url=https://mk.root-nation.com/ua/news-ua/it-news-ua/ua-google-russian-hackers-using-encrypted-pdf/&media=https://mk.root-nation.com/wp-content/uploads/2022/11/hakers-logo-01.png&description=Google: "група російських державних хакерів надсилає зашифровані PDF-файли, щоб обманом змусити жертв запустити утиліту для дешифрування".){kind=link}
„Гугл“ вели дека група руски државни хакери испраќаат шифрирани PDF-датотеки за да ги измамат жртвите да извршат алатка за дешифрирање што е всушност малициозен софтвер.
Вчера, компанијата објави блог пост во кој се документира нова тактика за фишинг од Coldriver, хакерска група за која САД и Велика Британија се сомневаат дека работи за руската влада. Пред една година беше објавено дека Колдрајвер цели три американски лаборатории за нуклеарни истражувања. Како и другите хакери, Coldriver се обидува да го преземе компјутерот на жртвата со испраќање пораки за фишинг кои на крајот доставуваат малициозен софтвер.
„Колдрајвер често користи лажни сметки, преправајќи се дека е експерт во одредена област или некако поврзан со жртвата“, додаваат од компанијата. „Лажната сметка потоа се користи за контактирање со жртвата, што ја зголемува веројатноста кампањата за фишинг да биде успешна и на крајот испраќа линк за фишинг или документ што ја содржи врската“. За да ја натера жртвата да го инсталира малициозниот софтвер, Coldriver испраќа писмена статија во PDF формат барајќи повратна информација. Иако PDF-датотеката може безбедно да се отвори, текстот внатре ќе биде шифриран.
„Ако жртвата одговори дека не може да го прочита шифрираниот документ, сметката на Coldriver одговара со врска, обично на складирање облак, до алатката за „декрипција“ што жртвата може да ја користи“, се вели во соопштението на Google. „Оваа алатка за дешифрирање, која прикажува и лажен документ, всушност е задна врата.
Наречен Spica, задна врата е првиот прилагоден малициозен софтвер развиен од Coldriver, според Google. Откако ќе се инсталира, малициозниот софтвер може да извршува команди, да краде колачиња од прелистувачот на корисникот, да поставува и презема датотеки и да краде документи од компјутерот.
Google наведува дека „ја набљудувал употребата на Spica уште во септември 2023 година, но верува дека Coldriver ја користи задна врата најмалку од ноември 2022 година“. Откриени се вкупно четири шифрирани PDF мамки, но Google успеа да извлече само еден примерок Spica, кој доаѓа како алатка наречена „Proton-decrypter.exe“.
Компанијата додава дека целта на Колдривер била да ги украде ингеренциите на корисниците и групите поврзани со Украина, НАТО, академските институции и невладините организации. За да ги заштити корисниците, компанијата го ажурираше софтверот на Google за да ги блокира преземањата од домени поврзани со кампањата за фишинг на Coldriver.
Google го објави извештајот еден месец откако американските сајбер-услуги предупредија дека Coldriver, исто така познат како Star Blizzard, „продолжува успешно да ги користи нападите на фишинг со копје“ за да погоди цели во ОК.
„Почнувајќи од 2019 година, Star Blizzard таргетираше сектори како што се академијата, одбраната, владините организации, невладините организации, тинк-тенковите и креаторите на политиките“, соопшти американската Агенција за сајбер безбедност и безбедност на инфраструктурата. „Во текот на 2022 година, активноста на Star Blizzard се чини дека се прошири уште повеќе за да ги вклучи одбранбените и индустриските капацитети, како и објектите на Министерството за енергетика на САД.
Прочитајте исто така: